ARTIKEL 29-DATENSCHUTZGRUPPE

Transkript

1 ARTIKEL 29-DATENSCHUTZGRUPPE 11081/02/DE/endg. WP 63 Stellungnahme 4/2002 zum Niveau des Schutzes personenbezogener Daten in Argentinien Angenommen am 3. Oktober 2002 Die Datenschutzgruppe wurde durch Artikel 29 der Richtlinie 95/46/EG eingesetzt. Sie ist ein unabhängiges EU- Beratungsgremium in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG aufgeführt, ferner in Artikel 14 der Richtlinie 97/66/EG. Das Sekretariat wird von folgender Dienststelle der Europäischen Kommission gestellt: Direktion A - Funktionieren und Auswirkungen des Binnenmarktes - Koordinierung - Datenschutz, Generaldirektion Binnenmarkt, B-1049 Brüssel, Belgien, Büro C100-6/136. Website:

2 STELLUNGNAHME DER GRUPPE FÜR DEN SCHUTZ NATÜRLICHER PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN - eingesetzt durch Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober ZUM NIVEAU DES SCHUTZES PERSONENBEZOGENER DATEN IN ARGENTINIEN DIE GRUPPE FÜR DEN SCHUTZ NATÜRLICHER PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN - gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz von Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 1, insbesondere auf Artikel 29 und Artikel30 Absatz 1 Buchstabe b, gestützt auf ihre Geschäftsordnung 2, insbesondere Artikel 12 und 14, in Erwägung nachstehender Gründe: (1) die Regierung der Republik Argentinien hat die Europäische Kommission ersucht 3 zu bestätigen, dass Argentinien ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie gewährleistet, (2) die Europäische Kommission hat die Artikel-29-Datenschutzgruppe um eine diesbezügliche Stellungnahme ersucht - HAT FOLGENDE STELLUNGNAHME ANGENOMMEN: 1. EINLEITUNG: RECHTSVORSCHRIFTEN ZUM DATENSCHUTZ IN ARGENTINIEN Der Schutz personenbezogener Daten ist im argentinischen Recht in verschiedenen Rechtsinstrumenten geregelt, wobei zwischen allgemeinen und sektorspezifischen Rechtsvorschriften unterschieden werden kann Allgemeine Rechtsvorschriften Die allgemeinen Rechtsvorschriften ergeben sich aus der Verfassung, dem Gesetz Nr zum Schutz personenbezogener Daten und der mit Beschluss Nr. 1558/2001 angenommenen Verordnung. Diese Rechtsvorschriften bilden zusammen den allgemeinen Rechtsrahmen für den Schutz personenbezogener Daten ABl. L 281 vom , S. 31, verfügbar unter: Von der Artikel 29-Datenschutzgruppe angenommen in ihrer 3. Sitzung am Schreiben des Botschafters der Republik Argentinien bei der Europäischen Union vom 23. Januar 2002.

3 Die argentinische Verfassung Die argentinische Verfassung beinhaltet mit der Habeas Data -Klausel einen besonderen Rechtsbehelf für den Schutz personenbezogener Daten. Hierbei handelt es sich um eine Variante des in der Verfassung verankerten Verfahrens zum Schutz der von der Verfassung gewährten Rechte, durch welche der Schutz personenbezogener Daten in den Rang eines Grundrechtes erhoben wird. Hierzu heißt es in Artikel 43 Absatz 3 der argentinischen Verfassung Jede Person hat das Recht, dieses Instrument [gemeint ist Habeas Data ] in Anspruch zu nehmen, um Kenntnis über alle sie betreffenden Daten und deren Verwendung zu erlangen, die in öffentlichen Archiven oder Datenbanken oder in privaten Archiven oder Datenbanken zu Auskunftszwecken gespeichert sind. Bei Unrichtigkeit oder diskriminierender Verwendung ist die betroffene Person berechtigt zu verlangen, dass die in den vorgenannten Archiven gespeicherten Daten gelöscht, berichtigt, geheim gehalten oder auf den aktuellen Stand gebracht werden. Die Bestimmungen für die Geheimhaltung journalistischer Informationsquellen werden durch diesen Artikel nicht berührt. Die argentinische Justiz erkennt den Habeas Data -Rechtsbehelf als unmittelbar anwendbares Grundrecht an. Gesetz zum Schutz personenbezogener Daten vom 4. Oktober 2000 (Gesetz Nr , im Folgenden als das Gesetz bezeichnet) Das Gesetz legt die Bestimmungen der Verfassung aus und entwickelt sie weiter. Es enthält Bestimmungen zu allgemeinen Grundsätzen des Datenschutzes, den Rechten der betroffenen Personen, den Pflichten der für die Verarbeitung von Daten Verantwortlichen und der Nutzer von Daten, der Aufsichtsbehörde oder Kontrollstelle, Sanktionen und Verfahrensvorschriften In bezug auf den Habeas Data -Rechtsbehelf. Mit dem Beschluss Nr. 1558/2001 vom 3. Dezember 2001 angenommene Verordnung (im Folgenden als die Verordnung bezeichnet) Mit dieser Verordnung treten die Durchführungsvorschriften für die Durchsetzung des Gesetzes in Kraft; sie ergänzt die in dem Gesetz enthaltenen Bestimmungen und enthält unmissverständliche Regelungen zu auslegungsbedürftigen Formulierungen des Gesetzes. Zusammengenommen bilden diese drei Rechtsinstrumente die allgemeinen Vorschriften des argentinischen Rechts für den Bereich des Datenschutzes (im Folgenden als argentinisches Recht bezeichnet). Anwendungsbereich des argentinischen Rechts Die Datenschutzgruppe hat sich in ihrer Bewertung mit der Angemessenheit des Niveaus des Schutzes personenbezogener Daten auseinander gesetzt, der durch die argentinische Verfassung, das Gesetz Nr und die mit Beschluss Nr. 1588/2001 angenommene Verordnung gewährt wird. Die vorliegende Stellungnahme beschränkt sich somit auf den Geltungsbereich der genannten Rechtsvorschriften und bezieht sich

4 nicht auf Situationen, die durch diese Rechtsinstrumente nicht abgedeckt sind. Insbesondere hat die Datenschutzgruppe die Erläuterungen und Zusicherungen der argentinischen Behörden bezüglich der Auslegung der Bestimmungen der Verfassung, des Gesetzes und der Verordnung und der Situationen, auf welche das argentinische Datenschutzrecht anwendbar ist, berücksichtigt. Wesentlicher Anwendungsbereich Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge das argentinische Datenschutzrecht auf folgende Gebiete anwendbar ist: i. In bezug auf den für die Verarbeitung Verantwortlichen Das argentinische Recht beinhaltet den Schutz von 1) personenbezogenen Daten, die in öffentlichen Datenarchiven, Registern, Datenbanken oder anderen technischen Medien gespeichert sind. Die Datenschutzgruppe interpretiert dies dahingehend, dass es sich bei dem für die Verarbeitung Verantwortlichen um eine öffentliche Einrichtung oder ein öffentliches Organ handelt. Diese Interpretation ergibt sich eindeutig aus Artikel 4 Absatz 3 der Verfassung und aus Artikel 1 des Gesetzes; 2) personenbezogene Daten, die in privaten Datenarchiven, Registern, Datenbanken oder anderen technischen Medien gespeichert sind; a) insoweit als die personenbezogenen Datenarchive, Register oder Datenbanken nicht nur für rein persönliche Zwecke genutzt werden. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge jede Nutzung, bei der die Wahrscheinlichkeit besteht, dass sie die Rechte der betroffenen Personen berührt, als über die Nutzung für rein persönliche Zwecke hinausgehend betrachtet werden muss, oder b) auch wenn die Nutzung personenbezogener Datenarchive, Register oder Datenbanken nicht über rein persönliche Zwecke hinausgeht, wenn diese für die Übertragung oder Übermittlung personenbezogener Daten bestimmt sind, unabhängig davon, ob die Verbreitung der erzeugten Daten oder Informationen gegen Bezahlung oder kostenlos erfolgt. Die Datenschutzgruppe ist der Auffassung, dass sich beide Abschnitte, a) und b), auf Situationen beziehen, in denen der für die Verarbeitung Verantwortliche eine - natürliche oder juristische - private Rechtspersönlichkeit ist. Was private Datensammlungen anbelangt, so stellt die Datenschutzgruppe fest, dass sich sowohl Artikel 43 Absatz 3 der Verfassung als auch Artikel 1 des Gesetzes auf

5 private Archive, Register, Datenbanken oder andere technische Medien zu Auskunftszwecken beziehen. Dieselbe Formulierung wird in weiteren Bestimmungen des argentinischen Gesetzes verwendet, etwa in Artikel 14 über das Zugangsrecht, Artikel 21 über die Pflicht zur Registrierung, Artikel 29 über die Befugnisse der Kontrollstelle, Artikel 33 und 35 über die Bestimmungen für die Anwendung des Habeas Data -Rechtsbehelfs und Artikel 46 über Übergangsregelungen. Allerdings stützt sich die vorgenannte weit gefasste Auslegung auf eine Reihe von Argumenten, die von den argentinischen Behörden vorgetragen wurden: Artikel 1 der Verordnung enthält die rechtliche Auslegung des Gesetzes. So wird hier die Formulierung private Datenarchive, Register oder Datenbanken zu Auskunftszwecken definiert als die über die rein persönliche Nutzung hinausgehen und die für die Übertragung oder Übermittlung personenbezogener Daten bestimmt sind, unabhängig davon, ob die Verbreitung der erzeugten Daten oder Informationen gegen Bezahlung oder kostenlos erfolgt. Artikel 24 des Gesetzes sieht vor, dass Privatpersonen, welche Datenbanken, Register oder Archive erstellen, die nicht für eine rein persönliche Nutzung bestimmt sind, entsprechend den Bestimmungen von Artikel 21 registriert werden müssen. Artikel 21 des Gesetzes schreibt vor, dass private Datensammlungen, die zu Auskunftszwecken geführt werden, registriert werden müssen. Artikel 24 würde keinen Sinn ergeben, wenn das Gesetz ausschließlich auf Datensammlungen anzuwenden wäre, die zu Auskunftszwecken geführt werden. Diese beiden Artikel bestätigen die Gleichbedeutung der Formulierungen Datensammlungen, die zu Auskunftszwecken geführt werden und Datensammlungen [...], die nicht für eine rein persönliche Nutzung bestimmt sind gemäß der rechtlichen Definition von Artikel 1 der Verordnung (siehe erster Punkt oben). Andererseits ist festzuhalten, dass sowohl das Gesetz als auch die Verordnung Bestimmungen bezüglich der Verarbeitung von Gesundheitsdaten (Artikel 8 des Gesetzes) und der Direktwerbung (Artikel 27 des Gesetzes und der Verordnung) enthalten, denen zufolge Datensammlungen, auch wenn sie nicht nur zur rein persönlichen Nutzung bestimmt sind, nicht für Auskunftszwecke erstellt werden dürfen. Auch hier wieder wären diese Bestimmungen überflüssig, wenn sich das Gesetz nur auf private Datensammlungen zu Auskunftszwecken beziehen würde. Nach Angaben der argentinischen Behörden sind die argentinischen Gerichte in mehreren Entscheidungen im Wesentlichen der vorstehenden Interpretation gefolgt 4. ii. In bezug auf die betroffene Person Das argentinische Recht beinhaltet den Schutz sowohl natürlicher als auch juristischer Personen In bezug auf die Verarbeitung personenbezogener Daten. Artikel 2 des Gesetzes definiert eine betroffene Person als jede natürliche Person oder rechtliche Einheit, die einen Sitz oder lokale Vertretungen oder Niederlassungen im Land hat und deren Daten der Verarbeitung unterworfen werden, auf die sich dieses Gesetz bezieht, und Artikel 1 des Gesetzes sieht vor, dass die Bestimmungen dieses 4 Berufungsgericht in Zivilsachen, Mantovano c/ Banco Regional de Cuyo, 2000; Becker José c/banco de la Provincia de Buenos Aires, 2002.

6 Gesetzes im relevanten Umfang auch auf Daten anwendbar sind, die rechtliche Einheiten betreffen. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, wonach die Forderung nach einem Sitz oder lokalen Vertretungen oder Niederlassungen in Argentinien als Voraussetzung für die Anerkennung als betroffene Person nur juristische Personen betrifft. Auf natürliche Personen bezieht sie sich nicht, daher gelten natürliche Personen grundsätzlich als betroffene Personen und sind durch das argentinische Recht unter Schutz gestellt. iii. In bezug auf das Verarbeitungsmedium Das argentinische Recht behandelt den Schutz personenbezogener Daten in Bezug sowohl auf die manuelle als auch auf die automatisierte Verarbeitung. Im Einzelnen ist in Artikel 2 des Gesetzes Datenverarbeitung definiert als systematische Vorgänge und Verfahren, auf elektronischem oder auf anderem Wege, die die Sammlung, Aufbewahrung, Organisation, Speicherung, Änderung, Zuordnung, Bewertung, Sperrung, Vernichtung und ganz allgemein die Verarbeitung personenbezogener Informationen sowie deren Übertragung an Dritte im Wege von Auskünften, Abfragen, Verbindungen oder Übermittlungen ermöglichen. iv. In bezug auf den Zweck der Verarbeitungsvorgänge Die Datenschutzgruppe stellt fest, dass das argentinische Recht in dieser Hinsicht allgemein anwendbar ist. Da der Zweck der Datensammlungen, die Gegenstand des Gesetzes sein sollen, in keiner allgemeinen Bestimmung festgelegt ist, gelangt die Datenschutzgruppe zu der Auffassung, dass auf Datenarchive, Register und Datenbanken unabhängig davon, für welchen Zweck sie errichtet wurden, grundsätzlich das Gesetz anwendbar ist, ausgenommen diejenigen Fälle, in denen anderweitige besondere Bestimmungen existieren. Die Datenschutzgruppe macht in diesem Zusammenhang allerdings auf die folgenden Punkte aufmerksam: Datenverarbeitung für Zwecke der Landesverteidigung, der öffentlichen Sicherheit oder der Verfolgung von Straftaten Für derartige Vorgänge gelten die Bestimmungen des Gesetzes. In diesen Fällen sind die allgemeinen Vorschriften des Gesetzes und der Verordnung anwendbar, unbeschadet der besonderen Bestimmungen von Artikel 23 des Gesetzes als lex specialis, das den Grundsatz der Zweckbestimmung erneut aufgreift. Datenverarbeitung für journalistische Zwecke Artikel 43 Absatz 3 der Verfassung bestimmt: Dieser Artikel betrifft nicht die Geheimhaltung journalistischer Quellen. Ähnlich heißt es in Artikel 1 des Gesetzes: Journalistische Informationsquellen oder Datenbanken sind hiervon in keinem Fall betroffen. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge die Bestimmung dahingehend zu verstehen ist, dass die Geheimhaltung journalistischer Informationsquellen als notwendige Voraussetzung für die Wahrung des Grundrechtes auf Pressefreiheit -

7 eine wichtige Säule jedes demokratischen Staatswesens - gesehen wird. In diesem Sinne muss die Identität journalistischer Informationsquellen u. a. gegenüber Anträgen von Betroffenen auf Zugang zu den sie betreffenden Daten geschützt werden, aus denen die Herkunft der Daten hervorgehen könnte (siehe Artikel 14 der Verordnung). Andererseits sollte die Berichtigung unkorrekter Daten, die von den Medien veröffentlicht werden, nach den Regeln erfolgen, die für das Recht auf Berichtigung in Verbindung mit der Pressefreiheit gelten. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge diese Ausnahmeregelung sehr restriktiv anzuwenden ist und sich nicht auf Sammlungen personenbezogener Daten bezieht, die nicht journalistischen Zwecken dienen, auch wenn der Verantwortliche eine journalistische Tätigkeit ausübt (z. B. die Personaldatenbank eines Zeitungsverlags). Datenverarbeitung zu statistischen Zwecken Artikel 28 des Gesetzes enthält folgende Bestimmungen: 1.- Die Regelungen dieses Gesetzes gelten nicht für Meinungsumfragen, Befragungen oder statistische Erhebungen gemäß dem Gesetz Nr , Marktuntersuchungen, wissenschaftliche oder medizinische Forschungsarbeiten und vergleichbare Tätigkeiten, soweit die dabei erhobenen Daten nicht einer bestimmten oder identifizierbaren Person zugeordnet werden können. 2.- Wenn es im Rahmen des Datenerhebungsprozesses nicht möglich ist, die Anonymität der Betroffenen zu wahren, ist ein Anonymisierungsverfahren anzuwenden, so dass einzelne Personen nicht identifiziert werden können. Die Datenschutzgruppe ist der Auffassung, dass es sich bei dieser Bestimmung weniger um eine Ausnahme vom allgemeinen Anwendungsbereich des Gesetzes handelt als vielmehr um eine Anwendung des Grundsatzes, dass das Gesetz personenbezogene Daten schützt, die in Artikel 2 des Gesetzes definiert sind als alle Informationen über bestimmte oder bestimmbare natürliche Personen oder rechtliche Einheiten. Die Datenschutzgruppe geht daher davon aus, dass in Fällen, in denen es sich bei der betroffenen Person um eine bestimmte oder bestimmbare natürliche oder juristische Person handelt, das Gesetz vollinhaltlich anzuwenden ist und dass dadurch die Bestimmung von Artikel 28 der Verordnung begründet ist, in der es heißt Haftung besteht für und die in Artikel 31 des Gesetzes Nr festgesetzten Geldstrafen sind anwendbar auf die in Artikel 28 dieses Gesetzes genannten Archive, Register oder Datenbanken im Falle einer Verletzung seiner Bestimmungen. Territoriale Anwendbarkeit Dieser Aspekt ist in Artikel 44 des Gesetzes geregelt. Demgemäß ist wie folgt zu unterscheiden: I. Bestimmungen des Gesetzes, die einheitlich für das gesamte Staatsgebiet anwendbar sind: Kapitel I: Allgemeine Bestimmungen Kapitel II: Allgemeine Datenschutzgrundsätze

8 Kapitel III: Rechte der betroffenen Personen Kapitel IV: [Verpflichtungen von] Verantwortlichen und Nutzern von Datenarchiven, Registern und Datenbanken Artikel 32: Strafrechtliche Sanktionen Die Existenz und die wichtigsten Aspekte des Habeas Data -Rechtsbehelfs (gemäß seiner Festlegung in der Verfassung) II. Bestimmungen des Gesetzes, die nicht einheitlich für das gesamte Staatsgebiet anwendbar sind: Kapitel V: Kontrolle (Aufsichtsbehörde) Kapitel VI: Sanktionen (die von der Aufsichtsbehörde verhängt werden können) Kapitel VII: Rechtsbehelf für den Schutz personenbezogener Daten ( Habeas Data ): Verfahrensvorschriften Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge daher die folgenden Vorschriften anzuwenden sind: Register, Datenarchive oder Datenbanken, die durch Netze auf interjustizieller (gemeint ist provinzübergreifender ), nationaler oder internationaler Ebene verbunden sind: Diese Fälle fallen in die Zuständigkeit der Justiz des Bundes und unterliegen somit den Bestimmungen des Gesetzes. Alle übrigen Arten von Registern, Datenarchiven oder Datenbanken: Diese Fälle fallen in die Zuständigkeit der Justiz der Provinzen. Die Provinzen können hierfür eigene rechtliche Bestimmungen erlassen. Einige Provinzen haben bereits Verfahrensvorschriften für die Anwendung des Habeas Data -Rechtsbehelfs erlassen Sektorspezifische Rechtsvorschriften Datenschutzrechtliche Bestimmungen sind in einer Reihe von Rechtsinstrumenten zur Regulierung verschiedener Sektoren enthalten, z. B. für Kreditkartentransaktionen, Statistiken, Banken oder Gesundheitswesen. 2. BEURTEILUNG DES ARGENTINISCHEN RECHTS IM HINBLICK AUF DIE ANGEMESSENHEIT SEINES SCHUTZNIVEAUS FÜR PERSONENBEZOGENE DATEN Die Datenschutzgruppe weist darauf hin, dass sich ihre Beurteilung des argentinischen Datenschutzrechts im Hinblick auf die Angemessenheit seines Schutzniveaus auf die im vorstehenden Kapitel angesprochenen allgemeinen Rechtsvorschriften im Bereich des Datenschutzes bezieht. Die genannten Bestimmungen wurden mit den wesentlichen Bestimmungen der Datenschutzrichtlinie verglichen; dies erfolgte unter Berücksichtigung der Stellungnahme der Datenschutzgruppe zu Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU 5. Diese Stellungnahme nennt eine Reihe von Grundsätzen, die einen Kern von 5 WP 12 - Von der Arbeitsgruppe am 24. Juli 1998 angenommen, verfügbar unter:

9 inhaltlichen Grundsätzen und verfahrensrechtlichen bzw. mit der Durchsetzung im Zusammenhang stehenden Erfordernissen [...], deren Einhaltung als Mindestanforderung an eine Situation gilt, in der von einem angemessenen Schutzniveau gesprochen werden kann. In ihrer Analyse gelangt die Datenschutzgruppe zu folgenden Ergebnissen: 2.1. Inhaltliche Grundsätze Fundamentale Grundsätze Der Grundsatz der Beschränkung der Zweckbestimmung - Daten sind für einen spezifischen Zweck zu verarbeiten und dementsprechend nur insofern zu verwenden oder weiter zu übermitteln, als dies mit der Zweckbestimmung der Übermittlung nicht unvereinbar ist. Die einzigen Ausnahmen von dieser Regel sind die in einer demokratischen Gesellschaft aus einem der in Artikel 13 der Richtlinie aufgeführten Gründe notwendigen Fälle. Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. So heißt es in Artikel 4 Absatz 3 des Gesetzes: Die Daten, die einer Verarbeitung unterzogen werden, dürfen für keinen Zweck oder Zwecke verwendet werden, die von den für ihre Erhebung ursächlichen Zwecken abweichen oder mit diesen nicht vereinbar sind. Der Grundsatz der Datenqualität und -verhältnismäßigkeit - Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Die Daten sollten angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein. Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. In Artikel 4 Absätze 4 und 5 des Gesetzes ist hierzu festgelegt: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neusten Stand gebracht sein. Ganz oder teilweise unrichtige oder unvollständige Daten sind von der für das Archiv oder die Datenbank verantwortlichen Person nach Benachrichtigung über die Unrichtigkeit oder Unvollständigkeit der betreffenden Informationen zu streichen oder zu ersetzen oder im Einzelfall zu vervollständigen; die Rechte der betroffenen Person gemäß Abschnitt 16 des Gesetzes bleiben hiervon unberührt. Darüber hinaus legt Artikel 4 Absatz 1 des Gesetzes fest: Die für Verarbeitungszwecke erhobenen personenbezogenen Daten müssen gesichert, angemessen, sachdienlich und im Hinblick auf die Zweckbestimmung, für die die Daten erhoben wurden, nicht exzessiv sein. Der Grundsatz der Transparenz - Natürliche Personen müssen Informationen über die Zweckbestimmung der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies aus Billigkeitsgründen erforderlich ist. Ausnahmen sind lediglich im Einklang mit den Artikeln 11 Absatz 2 und 13 der Richtlinie möglich. Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. So enthält Artikel 6 des Gesetzes hierzu die folgenden Bestimmungen: Vor jeder Erhebung personenbezogener Daten sind die betroffenen Personen in eindeutiger und verständlicher Form zu benachrichtigen über

10 a) den Zweck für den die Daten verarbeitet werden sollen und für welche Empfänger oder welche Art von Empfängern sie bestimmt sind; b) die Existenz des betreffenden elektronischen oder sonstigen Datenarchivs, Registers oder Datenbank sowie Identität und Sitz der hierfür verantwortlichen Person; c) den obligatorischen oder fakultativen Charakter der Antworten auf den Fragebogen, der der Person vorgelegt wird, insbesondere In bezug auf die im nachstehenden Abschnitt genannten Daten; d) die Folgen einer Bereitstellung der Daten oder der Verweigerung der Bereitstellung der Daten oder von deren sachlicher Unrichtigkeit; e) die Möglichkeit der betroffenen Person, das Recht auf Zugang zu den Daten sowie Berichtigung und Streichung der Daten wahrzunehmen. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge zwischen dem Grund für die Rechtmäßigkeit der Verarbeitung und der Pflicht zur Unterrichtung der betroffenen Person zu unterscheiden ist. So kann sich die Verarbeitung einerseits auf verschiedene legitime Gründe stützen, die in Artikel 5 im Einzelnen genannt sind. Hierzu zählen u. a. die Einwilligung der betroffenen Person, das Vorhandensein einer öffentlich zugänglichen Datenquelle, die Wahrnehmung einer Aufgabe im öffentlichen Interesse, eine rechtliche Verpflichtung oder eine vertragliche Beziehung. Die Datenschutzgruppe geht gemäß Artikel 5 der Verordnung davon aus, dass im Falle einer Verarbeitung mit Einwilligung der betroffenen Person diese Einwilligung in Kenntnis der Sachlage erteilt worden sein muss, und dies bedeutet, dass alle in Artikel 6 des Gesetzes genannten Informationen der betroffenen Person vorab übermittelt worden sein müssen. Andererseits heißt es in Artikel 6 des Gesetzes Vor jeder Erhebung personenbezogener Daten sind die betroffenen Personen in eindeutiger und verständlicher Form zu benachrichtigen über: [es folgt eine Liste mit Punkten zur Verarbeitung]. Zwar lässt der Wortlaut dieses Artikels den Schluss zu, dass sich die Pflicht zur Benachrichtigung der betroffenen Person auf Fälle bezieht, in denen die Daten von den Betroffenen selbst und mit deren Einwilligung bereitgestellt werden, doch weisen die argentinischen Behörden darauf hin, dass dies eine absolute und nicht an Bedingungen geknüpfte Pflicht ist, die nicht vom Grund der Rechtmäßigkeit der Verarbeitung abhängt. Die Pflicht zur Benachrichtigung besteht in jedem Fall, unabhängig davon, ob die personenbezogenen Daten von den betroffenen Personen oder von Dritten angefordert werden, und unabhängig davon, ob die Verarbeitung auf der Grundlage der Einwilligung der Betroffenen oder eines anderen der in Artikel 5 des Gesetzes genannten legitimen Gründe erfolgt. Auch wenn die Verarbeitung ohne die Einwilligung der betroffenen Person erfolgt, besteht daher dennoch die Pflicht zur Benachrichtigung der betroffenen Person auf der Grundlage von Artikel 6 des Gesetzes. Der Grundsatz der Sicherheit - Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsmaßnahmen für die Risiken der Verarbeitung zu treffen. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Verarbeiter, dürfen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

11 Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. So enthält Artikel 9 des Gesetzes hierzu die folgenden Bestimmungen: 1. - Der für Datensammlungen Verantwortliche oder deren Nutzer muss die technischen und organisatorischen Maßnahmen ergreifen, die notwendig sind, um die Sicherheit und die Geheimhaltung personenbezogener Daten zu garantieren, um deren Veränderung, Verlust, unberechtigte Einsichtnahme oder Verarbeitung zu verhindern, und welche die Erkennung einer absichtlichen oder unabsichtlichen Verzerrung derartiger Informationen ermöglichen, unabhängig davon, ob die Risiken durch menschliches Verhalten oder die eingesetzten technischen Mittel entstehen Die Speicherung von personenbezogenen Daten in Archiven, Registern oder Banken, die den Anforderungen der technischen Integrität und Sicherheit nicht entsprechen, ist verboten. Das Recht auf Zugang, Berichtigung und Widerspruch - Die betroffene Person muss das Recht haben, eine Kopie aller sie betreffenden Daten zu erhalten, die verarbeitet werden, sowie das Recht auf Berichtigung dieser Daten, wenn diese sich als unrichtig erweisen. In bestimmten Situationen muss sie auch Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. Ausnahmen sind lediglich im Einklang mit Artikel 13 der Richtlinie möglich. Bezüglich des Rechts auf Zugang ist die Datenschutzgruppe der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. In Artikel 14 Absatz 1 des Gesetzes heißt es hierzu: Betroffene Personen haben, nachdem sie ihre Identität ordnungsgemäß nachgewiesen haben, das Recht, Informationen über die sie betreffenden personenbezogenen Daten, die in öffentlichen Datenregistern oder - banken oder in zu Auskunftszwecken vorgesehenen privaten Datenregistern oder - banken gespeichert sind, zu verlangen und entgegenzunehmen. Dieser Grundsatz wird in den weiteren Absätzen der Artikel 14 und 15 des Gesetzes sowie in den Artikeln 14 und 15 der Verordnung weiter ausgeführt. Bezüglich des Rechts auf Berichtigung und Widerspruch ist die Datenschutzgruppe der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. Artikel 16 Absatz 1 des Gesetzes führt hierzu aus: Jede Person hat das Recht auf Berichtigung, Aktualisierung und - soweit zutreffend - Streichung oder Geheimhaltung der sie betreffenden personenbezogenen Daten, die in einer Datenbank gespeichert sind. Dieser Grundsatz wird in den weiteren Absätzen von Artikel 16 des Gesetzes sowie in Artikel 16 der Verordnung weiter ausgeführt. Die Ausnahmen von diesen Rechten regelt Artikel 17 des Gesetzes, der Einschränkungen nur im Falle öffentlicher Datenbanken und für eine begrenzte Zahl von wichtigen Gründen vorsieht wie etwa die Landesverteidigung, öffentliche Ordnung und Sicherheitsgründe oder den Schutz der Rechte und Interessen von Dritten sowie in Fällen, in denen diese Informationen schwebende Gerichts- oder Verwaltungsverfahren bezüglich der Einhaltung von Steuer- oder Sozialversicherungspflichten, die Erbringung von Gesundheits- und Umweltüberwachungsfunktionen, die Untersuchung von Straftaten und die Überprüfung der Verletzung von Verwaltungsvorschriften betreffen. Die

12 Datenschutzgruppe ist der Auffassung, dass diese Ausnahmen mit den Bestimmungen von Artikel 13 der Datenschutzrichtlinie im Einklang stehen. Beschränkungen der Weiterübermittlung in andere Drittländer - Weitere Übermittlungen personenbezogener Daten vom ursprünglichen Bestimmungsdrittland in ein anderes Drittland sind lediglich zulässig, wenn das zweite Drittland (d. h. der Empfänger der Weiterübermittlung) ebenfalls ein angemessenes Schutzniveau aufweist. Ausnahmen sind lediglich im Einklang mit Artikel 26 Absatz 1 der Richtlinie möglich. Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz im Wesentlichen einhält. Hierzu heißt es in Artikel 12 Absatz 1 des Gesetzes: Die Übermittlung jedweder personenbezogener Daten in Länder oder an internationale oder supranationale Organisationen, die kein angemessenes Schutzniveau gewährleisten, ist verboten. Ausnahmen von diesem Grundsatz sieht Artikel 12 Absatz 1 des Gesetzes in den folgenden Fällen vor: a) internationale justizielle Zusammenarbeit; b) Austausch von medizinischen Informationen, wenn dies für die Behandlung des Betroffenen erforderlich ist oder im Fall einer epidemiologischen Erhebung, sofern diese gemäß den Bestimmungen von Buchstabe e des vorhergehenden Abschnitts durchgeführt wird; c) Börsenhandel oder Banküberweisungen im entsprechenden Umfang und gemäß den anwendbaren Gesetzen; d) wenn die Übermittlung im Rahmen von der Republik Argentinien geschlossener internationaler Verträge geregelt ist; e) wenn die Übermittlung für Zwecke der internationalen Zusammenarbeit zwischen Ermittlungsbehörden im Zuge der Bekämpfung des organisierten Verbrechens, des Terrorismus und des Drogenhandels erfolgt. Artikel 12 der Verordnung ergänzt die Liste der Ausnahmen um die ausdrückliche Einwilligung der betroffenen Person in die Übermittlung und um die Übermittlung aus einem öffentlichen Register unter denselben Bedingungen wie bei der Einsichtnahme gemäß Artikel 26 Absatz 1 Buchstabe f der Datenschutzrichtlinie. Die Datenschutzgruppe ist der Auffassung, dass die genannten Ausnahmen weiter gefasst sind als in der Richtlinie, insbesondere die Ausnahmen nach Artikel 12 Absatz 1 Buchstaben b, c und d. Die Datenschutzgruppe hält dies für bedauerlich und würde eine Einschränkung der Ausnahmen begrüßen. Sie legt der argentinischen Regierung nahe, auf dieses Ziel hinzuarbeiten. Für besondere Formen der Verarbeitung gelten weitere Grundsätze: Sensible Daten - Sind sensible Kategorien von Daten betroffen (die in Artikel 8 der Richtlinie aufgelistet sind), so haben zusätzliche Sicherheitsmaßnahmen wie das Erfordernis zu gelten, dass die betroffene Person ausdrücklich in die Verarbeitung einwilligt.

13 Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. Artikel 2 des Gesetzes definiert sensible Daten als personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse, philosophische oder moralische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder sexuelle Gewohnheiten oder Verhaltensweisen. Artikel 7 des Gesetzes sieht weitere Sicherheitsmaßnahmen für die Verarbeitung sensibler Daten vor: 1.- Niemand kann zur Bereitstellung von sensiblen Daten gezwungen werden. 2.- Sensible Daten dürfen nur dann erhoben und verarbeitet werden, wenn hieran ein durch ein Gesetz zugelassenes allgemeines Interesse besteht. Sie können auch für statistische oder wissenschaftliche Zwecke verarbeitet werden, sofern die betroffenen Personen nicht identifiziert werden können. 3.- Die Erstellung von Archiven, Datenbanken oder Registern, in denen Daten gespeichert sind, durch die sensible Daten direkt oder indirekt offen gelegt werden, ist verboten. Unbeschadet dessen ist es der katholischen Kirche, Religionsgemeinschaften, politischen Parteien und Arbeitnehmerorganisationen gestattet, Mitgliederverzeichnisse zu führen. 4.- Daten, die Aufzeichnungen über Straftaten oder andere Vergehen betreffen, dürfen nur von den zuständigen Behörden und in dem von den entsprechenden Gesetzen und Verordnungen festgesetzten Rahmen verarbeitet werden. Weiter heißt es in Artikel 8 des Gesetzes Öffentliche oder private Gesundheitseinrichtungen sowie medizinische Fachkräfte sind berechtigt, unter Wahrung des Berufsgeheimnisses solche personenbezogenen Daten zu erheben und zu verarbeiten, die sich auf den körperlichen oder geistigen Zustand von Patienten beziehen, die ihre Dienste in Anspruch nehmen oder die ihrer Betreuung unterstellt sind oder waren. Direktwerbung - Werden Daten zum Zwecke der Direktwerbung übermittelt, so muss die betroffene Person die Möglichkeit haben, sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke zu entscheiden. Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz einhält. So enthält Artikel 27 des Gesetzes hierzu die folgenden Bestimmungen: 1.- Daten, die dazu geeignet sind, Profile zu verkaufsfördernden, kommerziellen oder werblichen Zwecken zu erstellen, dürfen bei der Erhebung von Wohnstätten, der Verbreitung von Unterlagen, in der Werbung oder dem Direktverkauf und anderen vergleichbaren Aktivitäten verarbeitet werden. Hierin eingeschlossen sind auch Daten, die die Ermittlung des Konsumverhaltens erlauben, wenn diese Daten in Unterlagen erscheinen, die der Öffentlichkeit zugänglich sind oder von den betroffenen Personen selbst bereitgestellt oder mit deren Einwilligung beschafft wurden. 2.- In den in diesem Abschnitt erwogenen Fällen kann die betroffene Person kostenlos das Recht auf Zugang wahrnehmen. 3.- Die betroffene Person kann jederzeit die Entfernung oder Sperrung ihres Namens aus bzw. in den in diesem Abschnitt angesprochenen Datenbanken beantragen.

14 Automatisierte Einzelentscheidung - Erfolgt die Übermittlung mit dem Ziel, eine automatisierte Einzelentscheidung im Sinne von Artikel 15 der Richtlinie zu treffen, so muss die natürliche Person das Recht haben, die dieser Entscheidung zugrunde liegende Logik zu erfahren, und andere Maßnahmen müssen getroffen werden, um die berechtigten Interessen der Person zu schützen. Die Datenschutzgruppe ist der Auffassung, dass das argentinische Recht diesen Grundsatz In bezug auf Verarbeitungsvorgänge des öffentlichen Sektors einhält, da es derartige automatisierte Einzelentscheidungen verbietet. So enthält Artikel 20 des Gesetzes hierzu die folgenden Bestimmungen: 1.- Gerichtliche Entscheidungen oder Verwaltungsakte, die eine Bewertung oder Beurteilung menschlichen Verhaltens beinhalten, dürfen nicht allein auf der Grundlage des Ergebnisses der automatisierten Verarbeitung personenbezogener Daten, die eine Definition des Profils oder der Persönlichkeit der betroffenen Person liefert, erstellt werden. 2.- Jede Zuwiderhandlung gegen die vorstehende Bestimmung ist unwiderruflich nichtig. Die Datenschutzgruppe stellt fest, dass das argentinische Recht zu diesem Punkt keine Regelung für den privaten Sektor enthält. Allerdings erinnert die Datenschutzgruppe daran, dass bei einer Angemessenheitsbeurteilung alle Umstände im Zusammenhang mit der Übermittlung personenbezogener Daten berücksichtigt werden müssen und dass die Höhe des Risikos, das die Übermittlung für den Betroffenen bedeutet, einen wichtigen Aspekt dieser Umstände darstellt. Das argentinische Recht gewährt dem Betroffenen Sicherheiten bezüglich der Erbringung von Kreditauskunftsdiensten, die ja im Bereich der automatisierten Einzelentscheidungen eine wichtige Rolle spielen. Entsprechende Sicherheiten sind in Artikel 26 des Gesetzes und der Verordnung enthalten. Sie sehen Einschränkungen bezüglich der Art der Daten, die verarbeitet werden dürfen, der Herkunft der Daten und des Zeitraums, auf den sich die Daten beziehen dürfen, vor. Die Datenschutzgruppe ist daher der Auffassung, dass das Fehlen einer allgemeinen Bestimmung für automatisierte Einzelentscheidungen für den privaten Sektor kein Hindernis für eine Erkennung auf Angemessenheit darstellen sollte Verfahrensrechtliche Mechanismen / Durchsetzungsmechanismen In ihrer Stellungnahme aus dem Jahr 1998 weist die Datenschutzgruppe darauf hin, dass bei der Beurteilung der Angemessenheit des Rechtssystems eines Drittlandes zunächst die Ziele des zugrunde liegenden verfahrensrechtlichen Systems für den Datenschutz zu bestimmen und - darauf aufbauend - das Spektrum der verschiedenen, in Drittländern bestehenden gerichtlichen und außergerichtlichen verfahrensrechtlichen Mechanismen zu bewerten ist. Ein Datenschutzsystem verfolgt somit im Wesentlichen drei Ziele: die Gewährleistung einer guten Befolgungsrate der Vorschriften; Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte; die Gewährleistung angemessener Entschädigung für die geschädigte Partei bei Verstoß gegen die Bestimmungen.

15 Gewährleistung einer guten Befolgungsrate der Vorschriften - Ein gutes System zeichnet sich im Allgemeinen dadurch aus, dass sich die für die Verarbeitung Verantwortlichen ihrer Pflichten und die betroffenen Personen ihrer Rechte und der Mittel für deren Wahrnehmung sehr stark bewusst sind. Die Existenz wirksamer, abschreckender Sanktionen ist wichtig, um die Einhaltung der Bestimmungen sicherzustellen; ebenso relevant sind natürlich auch Systeme der direkten Überprüfung durch Behörden, Buchprüfer oder unabhängige Datenschutzbeauftragte. Die Datenschutzgruppe ist zu der Auffassung gelangt, dass das argentinische Recht eine Reihe von Elementen enthält, die auf die Einhaltung dieser Zielsetzung ausgerichtet sind. Dies gilt besonders für: (a) Wirksame, abschreckende Sanktionen Das argentinische Recht sieht eine Reihe von Sanktionen vor, die sich hinsichtlich Art und Intensität nach der Schwere des von Verantwortlichen oder Nutzern der Datensammlungen begangenen Vergehens richten. Hier lassen sich zwei Arten von Sanktionen unterscheiden: i. Verwaltungsrechtliche Sanktionen Diese Sanktionen sind in Artikel 31 des Gesetzes und der Verordnung geregelt. Sie reichen von einer Verwarnung, Suspendierung oder Geldstrafe zwischen Pesos (1 000 USD) und Pesos ( USD) bis hin zur Schließung oder Löschung des Archivs, Registers oder der Datenbank. Die Sanktionen, die von der Datenschutzbehörde verhängt werden können, richten sich nach der Art der betroffenen Individualrechte, dem Umfang der durchgeführten Verarbeitung, dem daraus gezogenen Nutzen sowie Vorsätzlichkeit oder Wiederholung von Vergehen, Verletzungen oder Schäden, welche den Betroffenen und Dritten zugefügt wurden, und weiteren, für die Bestimmung des Ausmaßes der Unrechtmäßigkeit oder Schuldhaftigkeit im jeweiligen Einzelfall relevanten Umständen. Darüber hinaus kann dem Verantwortlichen oder Nutzer einer öffentlichen Datensammlung aufgrund der allgemeinen Vorschriften für den öffentlichen Dienst eine verwaltungsrechtliche Verantwortung zuerkannt werden. ii. Strafrechtliche Sanktionen Nach dem argentinischen Strafgesetzbuch gelten die wissentliche Verarbeitung unrichtiger personenbezogener Daten und die Verletzung der Geheimhaltungspflicht oder der Datensicherheit als Straftatbestand. Das Strafgesetzbuch sieht hierfür Gefängnisstrafen von drei bis sechs Jahren (oder von viereinhalb bis neun Jahren bei Personenschäden) sowie im Falle von Beamten die Aberkennung der Fähigkeit zur Ausübung eines öffentlichen Amtes vor. Die Datenschutzgruppe vertritt die Auffassung, dass dies wirksame, abschreckende Sanktionen sind, die mit ausreichend abschreckender Wirkung gegen die unrechtmäßige Verarbeitung personenbezogener Daten eingesetzt werden können.

16 (b) Datenschutzbehörde Das argentinische Recht sieht die Einsetzung einer Kontrollstelle für den Datenschutz vor. Gemäß Artikel 29 des Gesetzes ist diese Kontrollstelle zuständig für die Ergreifung aller für die Einhaltung der Zielsetzungen und sonstigen Bestimmungen des Gesetzes notwendigen Maßnahmen. Zu diesem Zweck werden der Kontrollstelle eine Reihe von Funktionen übertragen, darunter Unterstützungs- und Beratungsfunktionen, die Annahme von Vorschriften und Durchführungsbestimmungen des Gesetzes, die Führung eines Registers über Datensammlungen und die Überwachung der Einhaltung der Rechtsvorschriften bei Datensammlungen. Der Kontrollstelle werden verschiedene Befugnisse übertragen, etwa die Vollmacht, die juristische Genehmigung für den Zugang zu Datenverarbeitungsanlagen und -einrichtungen zu beantragen, Informationen von öffentlichen und privaten Organisationen zu verlangen, verwaltungsrechtliche Sanktionen zu verhängen, in Strafverfahren als Ankläger aufzutreten und die Einhaltung der Anforderungen und Sicherheitsmaßnahmen für die Eintragung privater Datensammlungen zu überprüfen. Als Kontrollstelle wurde gemäß Artikel 29 der Verordnung die Nationale Direktion für den Schutz personenbezogener Daten (DNPDP) eingesetzt. Die Direktion gehört zum Ministerium für Justiz und Menschenrechte. Der Direktor ist in der Ausübung seinen Funktionen unabhängig und nicht weisungsgebunden. Gegen seine Entscheidungen kann entsprechend den allgemeinen Vorschriften für Verwaltungsverfahren vor Gericht Beschwerde eingelegt werden. Allerdings macht die Datenschutzgruppe darauf aufmerksam, dass der Leiter der Datenschutzbehörde vom Minister für Justiz und Menschenrechte ernannt wird und von diesem entlassen werden kann und dass der Minister auch über die personelle Besetzung der Behörde entscheidet. Die Behörde ist in die Struktur des Justizministeriums eingegliedert. Die Datenschutzgruppe ist der Auffassung, dass damit nicht garantiert ist, dass die Behörde in ihrem Handeln völlig unabhängig ist, und drängt daher auf die Einführung der erforderlichen Regelungen, unter anderem auch auf veränderte Modalitäten für die Ernennung und Entlassung des Leiters der Behörde. Auf der Grundlage von Artikel 44 des Gesetzes gelangt die Datenschutzgruppe zu der Auffassung, dass die DNPDP als Bundesgerichtsbarkeit betrachtet werden kann und daher für die Überwachung von Datenregistern, -archiven oder -banken zuständig ist, die über nationale oder internationale interjustizielle Netze verbunden sind. In anderen Fällen würden derartige Datenregister, -archive oder -banken unter die Zuständigkeit der Provinzgerichte und damit außerhalb des Kompetenzbereichs der DNPDP fallen. Die Datenschutzgruppe würde die Einsetzung von Datenschutzbehörden in allen Provinzen begrüßen. Dies erscheint wichtig um zu gewährleisten, dass überall ein System der direkten behördlichen Überprüfung und ein nicht mit der Justiz identischer institutioneller Mechanismus existiert, der die unabhängige Untersuchung von Beschwerden erlaubt.

17 Unter Berücksichtigung dieser Sachverhalte gelangt die Datenschutzgruppe zu der Auffassung, dass das argentinische Recht die für die Gewährleistung einer guten Befolgungsrate der Vorschriften erforderlichen Elemente enthält. Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte - Der Einzelne muss seine Rechte rasch und wirksam, ohne überhöhte Kosten durchsetzen können. Dafür muss es eine Art institutionellen Mechanismus geben, der eine unabhängige Prüfung von Beschwerden ermöglicht. Die Datenschutzgruppe ist zu der Auffassung gelangt, dass das argentinische Recht eine Reihe von Elementen enthält, die auf die Einhaltung dieser Zielsetzung ausgerichtet sind. Dies gilt besonders für: (a) Habeas Data -Rechtsbehelf Wie bereits angesprochen, sieht die argentinische Verfassung für den Schutz personenbezogener Daten einen besonderen Rechtsbehelf mit der Bezeichnung Habeas Data vor. Hierbei handelt es sich um eine Variante des in der Verfassung verankerten Verfahrens zum Schutz der von der Verfassung gewährten Rechte, durch welche der Schutz personenbezogener Daten in den Rang eines Grundrechtes erhoben wird. Hierzu heißt es in Artikel 43 Absatz 3 der argentinischen Verfassung Jede Person hat das Recht, dieses Instrument [gemeint ist Habeas Data ] in Anspruch zu nehmen, um Kenntnis über alle sie betreffenden Daten und deren Verwendung zu erlangen, die in öffentlichen Archiven oder Datenbanken oder in privaten Archiven oder Datenbanken zu Auskunftszwecken gespeichert sind. Bei Unrichtigkeit oder diskriminierender Verwendung ist die betroffene Person berechtigt zu verlangen, dass die in den vorgenannten Archiven gespeicherten Daten gelöscht, berichtigt, geheim gehalten oder auf den aktuellen Stand gebracht werden. Die Bestimmungen für die Geheimhaltung journalistischer Informationsquellen werden durch diesen Artikel nicht berührt. Die gesetzlichen Bestimmungen für die Durchsetzung dieses von der Verfassung gewährten Rechtsbehelfs enthalten die Artikel 33 bis 43 des Gesetzes. Der Habeas Data -Rechtsbehelf stellt somit ein vereinfachtes und schnell anwendbares Rechtsmittel dar. Er kann von Betroffenen gegen die Verantwortlichen oder Nutzer der Datensammlungen angewandt werden. Die argentinische Regierung hat klargestellt, dass der Rechtsbehelf entsprechend den Regelungen In bezug auf den Anwendungsbereich des Datenschutzes im argentinischen Recht gegen die Verantwortlichen oder Nutzer aller Arten von öffentlichen Datensammlungen und aller Arten von privaten Datensammlungen (und nicht nur privaten Datensammlungen zu Auskunftszwecken) angewandt werden kann, sofern deren Verwendung über rein persönliche Zwecke hinausgeht. Diese Darstellung wird durch in diesem Sinne ergangene Gerichtsentscheidungen bestätigt. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge das Gesetz den Anwendungsbereich der Verfassungsbestimmung insofern erweitert, als es die Anwendung dieses Rechtsbehelfs in Fällen gestattet, in denen die Verarbeitung personenbezogener Daten, deren Erhebung in dem Gesetz verboten ist, vermutet wird. Dies bedeutet, dass

18 bei jedem Verstoß gegen die Datenschutzvorschriften die Anwendung des Habeas Data -Rechtsbehelfs möglich ist. Weiter stellt die Datenschutzgruppe fest, dass in Fällen, in denen eine Ausnahme von dem Recht auf Zugang, Berichtigung oder Löschung geltend gemacht wird, die Beweislast beim Verantwortlichen oder Nutzer liegt. Der Habeas Data -Rechtsbehelf gestattet Gerichtsurteile dahingehend, dass Informationen gestrichen, berichtigt, aktualisiert oder für vertraulich erklärt werden müssen. Die Datenschutzgruppe nimmt zur Kenntnis, dass das Gerichtsurteil der Kontrollstelle übermittelt werden muss und somit der DNPDP im Rahmen ihrer Zuständigkeit die Durchsetzung der Datenschutzvorschriften In bezug auf andere betroffene Personen, die nicht Teil des ursprünglichen Habeas Data -Verfahrens sind, erlaubt sein kann. (b) Allgemeine Rechtsbehelfe Neben dem Habeas Data -Rechtsbehelf ist im argentinischen Recht vorgesehen, dass Datenschutzrechte und -pflichten nach den üblichen Verfahren im Wege von Gerichtsurteilen durchgesetzt werden. So können betroffene Personen vor einem Zivilgericht ein Verfahren auf Schadenersatz oder auf Durchsetzung aller in dem Gesetz oder der Verordnung vorgesehenen Rechte anstrengen. Darüber hinaus können im Falle der im Strafgesetzbuch im Zusammenhang mit der Verarbeitung personenbezogener Daten genannten Straftaten Strafverfahren eingeleitet werden. Vor dem Hintergrund dieser Überlegungen gelangt die Datenschutzgruppe zu der Auffassung, dass das argentinische Recht die erforderlichen Elemente enthält, die notwendig sind, um Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte zu gewährleisten. Gewährleistung angemessener Entschädigung für die geschädigte Partei bei Verstoß gegen die Bestimmungen - Für dieses Schlüsselelement muss ein unabhängiges Schlichtungs- oder Schiedssystem vorhanden sein, das gegebenenfalls die Zahlung von Entschädigungen oder auch die Verhängung von Sanktionen ermöglicht. Die Datenschutzgruppe weist darauf hin, dass weder das Gesetz noch die Verordnung spezielle Vorschriften bezüglich des Rechts von Personen, die aufgrund eines unrechtmäßigen Verarbeitungsvorgangs Schaden erlitten haben, auf Schadenersatz enthält. Die Datenschutzgruppe nimmt die Erläuterungen der argentinischen Behörden zu diesem Thema zur Kenntnis, denen zufolge das argentinische Recht diesbezüglich keine spezielle Vorschriften enthält und daher die allgemeinen Haftungsvorschriften gelten. Je nach Einzelfall sind die Bestimmungen der vertraglichen Haftung (wenn die Verarbeitung im Rahmen einer vertraglichen Beziehung zwischen den Parteien stattfindet) oder ansonsten der außervertraglichen Haftung anwendbar. In beiden Fällen stehen die argentinischen Rechtsvorschriften mit der zivilrechtlichen Tradition in Europa im Einklang und folgen dem Grundsatz der Pflicht zur Entschädigung bei unrechtmäßigem Umgang mit personenbezogenen Daten.

19 Vor dem Hintergrund dieser Überlegungen gelangt die Datenschutzgruppe zu der Auffassung, dass das argentinische Recht die erforderlichen Elemente enthält, die notwendig sind, um eine angemessene Entschädigung für die geschädigte Partei bei Verstoß gegen die Bestimmungen zu gewährleisten Verschiedenes Die Datenschutzgruppe stellt fest, dass gemäß Artikel 5 des argentinischen Gesetzes personenbezogene Daten ohne Einwilligung der Betroffenen verarbeitet werden dürfen, wenn die Daten aus Quellen stammen, die für die Öffentlichkeit uneingeschränkt zugänglich sind. Die Datenschutzgruppe weist auf die Notwendigkeit von Vorschriften hin, die gewährleisten, dass die Daten, die in einer für die Öffentlichkeit uneingeschränkt zugänglichen Quelle enthalten werden, so geartet sind, dass deren Verarbeitung ohne die Einwilligung der Betroffenen aller Wahrscheinlichkeit nach die Grundrechte und -freiheiten des Einzelnen und insbesondere das Recht auf Schutz der Privatsphäre nicht bedroht. Sie vertritt die Auffassung, dass auch in dem Fall, dass personenbezogene Daten in einer Quelle enthalten sind, die für die Öffentlichkeit uneingeschränkt zugänglich ist, alle Bestimmungen des argentinischen Datenschutzrechts anwendbar sind. 3. ERGEBNISSE DER BEURTEILUNG Die Datenschutzgruppe hebt hervor, dass die argentinische Regierung für die Durchführung der vorliegenden Beurteilung des Schutzniveaus des argentinischen Rechts Informationen dahingehend bereitgestellt hat, wie die Bestimmungen der argentinischen Verfassung, des Gesetzes und der Verordnung auszulegen sind, und zugesichert hat, dass die argentinischen Datenschutzvorschriften gemäß dieser Auslegung angewandt werden. Die Analyse der Datenschutzgruppe stützt sich somit auf diese Informationen und Zusicherungen der argentinischen Regierung, daher hängt die Stellungnahme davon ab, dass diese von der argentinischen Regierung bereitgestellten Elemente durch die tatsächliche Anwendung der Datenschutzvorschriften in Argentinien bestätigt werden. Insbesondere hat die Datenschutzgruppe mit Blick auf den Anwendungsbereich des argentinischen Rechts die Erklärungen und Zusicherungen der argentinischen Behörden bezüglich der Auslegung der Bestimmungen der Verfassung, des Gesetzes und der Verordnung und der Situationen, in denen das argentinische Datenschutzrecht zur Anwendung kommt, berücksichtigt. Die vorliegende Stellungnahme wurde auf der Grundlage dieser Annahmen und Erläuterungen verfasst, ohne dass auf nennenswerte Erfahrungen mit der praktischen Anwendung der Rechtsvorschriften auf föderaler oder provinzieller Ebene hätte zurückgegriffen werden können. Dies gilt auch für die tatsächliche Berücksichtigung der oben ausgeführten Vorbehalte durch die argentinischen Behörden innerhalb eines annehmbaren Zeitrahmens sowie für die Forderungen nach Verbesserung oder Änderung der geltenden Rechtstexte. Auf der Grundlage der vorgenannten Ergebnisse gelangt die Datenschutzgruppe abschließend zu der Auffassung, dass Argentinien ein angemessenes Datenschutzniveau im Sinne von Artikel 25 Absatz 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gewährleistet.

20 Die Datenschutzgruppe legt den argentinischen Behörden aber auch nahe, die notwendigen Schritte zu unternehmen, um noch verbleibende Schwachstellen des bestehenden rechtlichen Instrumentariums, die in dieser Stellungnahme aufgezeigt werden, zu beseitigen und fordert die Kommission auf, den Dialog mit der argentinischen Regierung mit diesem Ziel fortzusetzen. Vor allem fordert die Datenschutzgruppe die argentinischen Behörden nachdrücklich auf, die wirksame Durchsetzung der Rechtsvorschriften auf provinzieller Ebene sicherzustellen; dazu sind die nötigen unabhängigen Kontrollbehörden zu schaffen, wo solche noch nicht existieren. In der Zwischenzeit sind im Einklang mit der argentinischen Verfassungsordnung geeignete Übergangslösungen zu suchen. Brüssel, 3. Oktober 2002 Für die Datenschutzgruppe Der Vorsitzende Stefano RODOTA